本校の学生向け情報電子掲示システムにおいて、掲示情報が外部から閲覧可能状態にあったことにつきましては、令和6年9月11日に本校ホームページにてお知らせしているところですが、本事案の調査結果等をご報告いたします。
関係者の皆さまにご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。
今後、このような問題が発生することのないよう、情報セキュリティの確保に関する取組を強化し、再発防止に努めてまいります。
なお、本日までに本事案に関する被害は確認されておりません。
1 事案の概要
令和6年9月5日、業務でウェブを検索していた本校職員の報告により、本校学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態にあることが判明しました。事象判明後、直ちにシステムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしたところですが、その後の調査において、閲覧可能状態にあった期間は平成23年4月以降であることを把握しました。
現在、改修作業を行っていますが、システムの運用を再開するに当たっては、当該事象に係る改修の検証だけではなく、システム全体の安全性を十分に確認することとし、専門業者の協力のもと、必要な対応に取り組んでおります。
2 閲覧可能状態にあった情報の内容
(1) 平成23年度以降に在籍歴のある学生の個人データ: 4,122件
(2) 平成23年度以降に在籍歴のある教職員の個人データ: 314件
(3) 平成23年度以降に採用された非常勤講師の個人データ: 56件
(4) 閲覧可能状態にあった個人データの種類: 学籍番号、氏名(姓のみ、カナ又はローマ字表記のみを含む)、電話番号、メールアドレス、SNSアカウント
3 発生原因
本システムは、平成23年4月に全面更新を行いました。その際、当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報(htmlファイル)や添付ファイルを素早く閲覧できるよう、ファイルのURLを直接入力することで、ログイン認証なしでもアクセスできる設計としました。この場合、閲覧しようとするファイルの数十桁に及ぶ完全なURLを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っておりませんでした。
しかしながら、今般、一部の検索エンジンによって、お知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生しました。
なお、通信履歴を調査した結果、お知らせ情報の本文に該当するhtmlファイルが外部から閲覧された形跡は確認されておりません。
4 個人データが閲覧可能状態にあった方々へのご連絡
連絡先が確実に把握できる在校生及び在籍教職員の皆さまに対しましては、順次、電子メールにて、その事実を報告し、お詫び文を送付いたします。また、個人データの内容が姓のみ等で当該個人を特定できない場合及び卒業生、退職者等の皆さまに対しましては、本校ホームページに本事案に関するご報告と問い合わせ窓口に係るご案内を掲載し、個別に対応を行ってまいります。
5 再発防止に向けた取組
本事案に係る改修・検証及びシステム全体の安全性を担保するために必要な対応を講じるほか、今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めてまいります。